Servicios
de alojamiento de archivos como Dropbox o Google Drive han proliferado en los
últimos tiempos, así como los usuarios que utilizan este tipo de plataformas. A
menudo se utilizan las denominadas “nubes” para almacenar todo tipo dedocumentos con el fin de que estén siempre a mano, ya que basta con disponer de
una conexión a Internet para acceder a ellos. Sin embargo, hay que tener
cuidado con el tipo de documentos que alojamos en estos servicios, ya que no
garantizan la seguridad de los mismos. Y si la información alojada incluye
datos personales, el usuario, ya sea un particular o una empresa, se puede
meter en un buen lío si no actúa conforme a la ley.
Hace un
año, Dropbox hizo públicos unos nuevos términos y condiciones de uso para
empresas u organizaciones que utilicen como tales este servicio. En dicho
texto, esta compañía señala que no se hace responsable en caso de eliminación o
error en el almacenamiento de información proporcionada por un usuario final o
el cliente. Otro de los puntos indica que, en caso de controversia, serán de
aplicación las leyes de California, mientras que la jurisdicción competente
será la de San Francisco.
El
problema que se puede dar es que si una PYME española, por ejemplo, utiliza
Dropbox para almacenar datos personales, debe atenerse a la Ley de Protección de Datos (LOPD) de nuestro país,
por mucho que el servicio de alojamiento esté radicado en Estados Unidos y sean
de aplicación leyes extranjeras en caso de controversia.
Según
la normativa europea, si una empresa utiliza estos espacios virtuales para el
almacenamiento de datos de clientes, proveedores, etc, las encargadas del
tratamiento de estos datos deben ser las empresas que ofrezcan estos servicios
de nube. Según el artículo 12 de la LOPD, que está refrendado por la Directiva Europea
sobre esta materia (art. 17), “la realización de tratamientos por cuenta de
terceros deberá estar regulada en un contrato” en el que se establezca
“expresamente que el encargado del
tratamiento únicamente tratará los datos conforme a las instrucciones del
responsable del tratamiento, que no los aplicará o utilizará con fin distinto
al que figure en dicho contrato, ni los comunicará, ni siquiera para su
conservación, a otras personas”.
Los documentos deberán ser destruidos cuando finalice el contrato
Una vez
finalice la prestación contractual, continúa el precepto, los datos de carácter
personal “deberán ser destruidos o
devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter personal objeto del tratamiento”.
Sin embargo, estas empresas no suelen contemplar estas previsiones de la
legislación española y europea en la materia, ya que, como hemos visto más
arriba, no se hacen responsables de ninguna pérdida de información o fallos al
almacenar informaciones de una cuenta de servicios de un cliente o usuario
final.
Dropbox
está adherida al acuerdo Safe Harbor (puerto seguro) entre EEUU y la UE, pero
ello no significa que garantice un nivel de protección equivalente al que exige
la normativa europea respecto a los datos personales de terceros almacenados en
esta nube. Y las reclamaciones que una empresa pueda realizar a este servicio
de hosting se antojan muy complicadas, debido a la maraña legislativa en la que
está inmersa: sujeta a las leyes de California, pero adherida al acuerdo
EEUU-UE por la seguridad de los datos personales.
Por
otro lado, no es precisa la autorización del Director de la Agencia Española de
Protección de Datos (AEPD) para almacenar datos personales en Dropbox –que está
considerado una transferencia internacional de datos-, ya que esta compañía
está sujeta a Safe Harbor y ésta es una de las excepciones que marca la propia
Agencia en la obligatoriedad de pedir autorización para transferir datos a
países con un nivel de seguridad menor que el nuestro.
No hay comentarios:
Publicar un comentario